Cómo responde ISO 37001 a las expectativas del Departamento de Justicia de los EE. UU.

Publicado en LinkedIn

Artículo de Philippe Montigny

Este artículo es un resumen de una presentación que hice en la Conferencia de la Asociación Internacional de Abogados celebrada en Milán los días 12 y 13 de septiembre de 2019.

Seamos claros desde el principio:

Una Certificación del Sistema de Gestión Antisoborno (ISO 37001) nunca será considerada como una defensa afirmativa automática por el Departamento de Justicia de EE. UU. Ni por ninguna otra autoridad de aplicación. En caso de una investigación corporativa, los magistrados siempre querrán llevar a cabo su propia evaluación y forjar sus propios puntos de vista.

Sin embargo, mi convicción siempre ha sido que una certificación ISO 37001 ayudará a una empresa a demostrar que se implementó un programa anticorrupción adecuado y eficiente y que si, sin embargo, ocurrió una mala conducta, fue cometido por un empleado deshonesto.

Esta convicción ha sido reforzada por la lectura del documento Evaluación de Programas de Cumplimiento Corporativo (ECCP) publicado por la División Criminal del Departamento de Justicia de los Estados Unidos en abril de 2019.

Me sorprendió ver que el espíritu y la letra de este documento DoJ - ECCP están muy cerca de lo que el grupo de redacción de la ISO 37001 (en la que participé) quería incluir en la Norma sobre Sistemas de Gestión Antisoborno.

Una filosofía común: evaluar la naturaleza apropiada de un programa

Estos dos documentos comparten una filosofía común. Como puntos de referencia, no intentan definir el programa ideal de cumplimiento corporativo anticorrupción. Identifican los elementos fundamentales en los que debe confiar cualquier empresa determinada para prevenir y detectar la corrupción, independientemente de su tamaño o modelo de negocio,

El documento DoJ - ECCP especifica: “Debido a que un programa de cumplimiento corporativo debe ser evaluado en el contexto específico de una investigación criminal, la División Criminal no usa ninguna fórmula rígida para evaluar la efectividad de los programas de cumplimiento corporativo. Reconocemos que el perfil de riesgo y las soluciones de cada empresa para reducir sus riesgos justifican una evaluación particularizada. En consecuencia, tomamos una determinación individualizada en cada caso. ”(Evaluación de Programas de Cumplimiento Corporativo; actualizado en abril de 2019; I-Introducción; página 1)

La norma ISO 37001 especifica los requisitos y proporciona orientación para establecer, implementar, mantener, revisar y mejorar un sistema de gestión antisoborno (...) Los requisitos de este documento son genéricos y están destinados a ser aplicables a todas las organizaciones, independientemente del tipo, tamaño y naturaleza de la actividad, (...) El grado de aplicación de estos requisitos depende de los factores especificados en 4.1 (Contexto de la organización), 4.2 (Necesidades y expectativas de las partes interesadas) y 4.5. (Evaluación del riesgo de soborno). ”(1-Alcance; página 1)

Ambos textos reconocen el aspecto único de cada empresa, la particularidad de su riesgo de corrupción y la especificidad de su programa de cumplimiento.

Punto de partida común: evaluación del riesgo de corrupción

Ambos documentos consideran que la evaluación de riesgos es el punto de partida de cualquier programa anticorrupción:

• DoJ - ECCP: El punto de partida para la evaluación de un fiscal (...) es cómo la compañía ha identificado, evaluado y definido su perfil de riesgo, y el grado en que el programa dedica el escrutinio y los recursos apropiados al espectro de riesgos. (A. Evaluación de riesgos, p 2)
• ISO 37001: “Este documento especifica la implementación por parte de la organización de políticas, procedimientos y controles que sean razonables y proporcionales de acuerdo con los riesgos de soborno que enfrenta la organización”. (Introducción. P vi - ver también 4.5 Evaluación de riesgos)

Fundamentos comunes: desde el diseño del programa hasta la evaluación de su efectividad

El documento del DOJ describe sus expectativas para la evaluación de un programa de cumplimiento anticorrupción apropiado utilizando tres preguntas: 

I. ¿Está bien diseñado el programa de cumplimiento de la corporación?

II ¿El programa de cumplimiento de la corporación se está implementando de manera efectiva?

III. ¿El programa de cumplimiento de la corporación funciona en la práctica?

Estas tres preguntas siguen la lógica del Estándar del Sistema de Gestión Antisoborno (ABMS) ISO 37001. Como con todos los estándares del sistema de gestión, el ABMS está diseñado utilizando un método PDCA:

I. PLAN: liderazgo (sección 5); Planificación (Sección 6); Recursos, competencias y comunicación (Sección 7)

II DO: Operaciones: diligencia debida, obsequios e invitaciones, planteando inquietudes ... (Sección 8)

III. COMPROBAR Y ACTUAR: Evaluación del desempeño (Sección 9): Mejora (Sección 10)

Punto final común: mejora continua

Finalmente, ambos documentos enfatizan la importancia de la mejora continua para garantizar la eficiencia de un programa:

• DoJ-ECCP: Finalmente, un sello distintivo de un programa de cumplimiento que funciona de manera efectiva en la práctica es la medida en que una empresa puede llevar a cabo un análisis reflexivo de la causa raíz de la mala conducta y corregir de manera oportuna y adecuada para abordar las causas raíz. (C. Análisis y remediación de cualquier mala conducta subyacente, p 16)
• ISO 37001: Cuando se produce una no conformidad, la organización debe: a) reaccionar rápidamente ante la no conformidad, (...), tomar medidas para controlarla y corregirla; b) evaluar la necesidad de acción para eliminar la (s) causa (s) de la no conformidad, a fin de que no se repita o ocurra en otro lugar, mediante: (...) determinando las causas de la no conformidad; (...) implementar cualquier acción necesaria; realizar cambios en el sistema de gestión antisoborno, si es necesario ”(10.1 No conformidad y medidas correctivas. p 21)